In paragraaf 3.1.2 is de functionaliteit van FSV beschreven en benoemd dat FSV een exportfunctie had;
individuele signalen konden worden geëxporteerd naar Word en overzichten van signalen konden worden geëxporteerd naar Excel. In de GEB van FSV november 2019 is het exporteren naar Excel als
beveiligingsrisico bestempeld omdat meerdere rollen in FSV hierdoor de mogelijkheid hadden om een export-dump te maken van de volledige database zonder zicht op de verdere verwerking van de
geëxporteerde data.187 In deze paragraaf beschrijft de AP de relevante feiten over het exporteren naar Excel in relatie tot de beveiliging van gegevens in FSV.
Een functioneel beheerder van FSV heeft verklaard dat het exporteren in FSV inhield dat de inhoud van alle velden, inclusief het vrije tekstveld Aantekening, werden meegenomen en dat dit door de betreffende medewerker niet kon worden beperkt tot een subset van de velden.188 Ook was er in FSV geen limiet
184 https://docs.microsoft.com/en-us/sql/relational-databases/logs/the-transaction-log-sql-server
185 Pagina’s 5 en 6 van verslag verklaringen medewerkers Belastingdienst logging op 20 augustus 2020 (dossierstukken 96, 100 en 103) en e-mail van de Belastingdienst aan de AP van 24 augustus 2020 (dossierstuk 79).
186 Pagina 15 van verslag verklaringen medewerkers Belastingdienst logging op 20 augustus 2020 (dossierstukken 96, 100 en 103).
187 Pagina’s 10 en 17 van de GEB van FSV van november 2019. Zie ook pagina 43 van het KPMG rapport
188 Pagina 23 van verslag verklaringen medewerkers Belastingdienst werking FSV afgelegd op 30 juni 2020 (dossierstukken 81, 90, 91, 92).
Openbare versie | oktober 2021
42
ingeregeld van het aantal te downloaden signalen; wel volgt uit de volgende mondelinge verklaring dat de performance van de applicatie het aantal limiteerde:
“Je kan uitdraaien maken tussen de 20.000 en 30.000 signalen en meer kon het systeem gewoon niet aan. Dan sloeg het uit. Als je echt alles wilde hebben, dan moest je dat in fasen doen of tijdvakken aangeven, of jaartallen.” 189
De AP stelt vast dat noch de Handleiding Dagboek FSV of noch andere documenten beperkende voorschriften bevatten over het gebruik van de exportfunctionaliteit.190 Medewerkers van de
Belastingdienst hebben tegenover de AP verklaard dat er geen afspraken lagen over het gebruik van de exportfunctionaliteit en dat er geen sprake was van controle achteraf.191 De AP constateert ook dat de functionaliteit niet voorbehouden was tot speciale rollen; de functionaliteit was beschikbaar binnen vier van de negen rollen zijnde Medewerker raadplegen BI, Behandelaar aangiftefraude, Behandelaar en Senior Behandelaar (zie Bijlage 1 van het rapport).192
De AP constateert op basis van de beschikbare FSV applicatielogbestanden dat in de periode 4 maart 2019 tot en met 27 februari 2020 de exportfunctionaliteit gemiddeld 3,4 keer per werkdag is aangeroepen.193 Uit verklaringen van medewerkers van de Belastingdienst volgt dat de exportfunctionaliteit voor verscheidene doeleinden werd gebruikt.194 Zo werd het gebruikt op een kantoor van Belastingen om maandelijks een overzicht van de nieuw in FSV gevoerde signalen uit te draaien en te verspreiden onder medewerkers.
Binnen Toeslagen werd de functionaliteit gebruikt om periodiek een overzicht te maken van de werkvoorraad van openstaande signalen. Ook werden de exports gebruikt om de afdeling Invordering maandelijks te informeren over de personen die misbruik maakten van toeslagen. De AP heeft ook vastgesteld dat de exportfunctionaliteit is gebruikt om alle signalen van Toeslagen over de jaren 2016-2020 te exporteren.195 De Belastingdienst heeft verklaard dat dit nodig was zodat een data-analist in opdracht van de afdelingen Handhavingsregie/Fraude in dit databestand zelfstandig kon opzoeken of bepaalde personen in FSV voorkwamen.196 Uit een analyse van FSV door de AP volgt dat deze data-analist geen toegang had tot FSV.197 De medewerker van Toeslagen die de exports heeft gemaakt heeft tegenover de AP verklaard dat hij dit soort opdrachten vaker kreeg en uitvoerde.198
189 Pagina 59 van verslag verklaringen medewerkers Belastingdienst werking FSV afgelegd op 30 juni 2020 (dossierstukken 81, 90, 91, 92).
190 Handleiding Dagboek FSV.
191 Pagina’s 21, 23 en 44 van verslag verklaringen medewerkers Belastingdienst werking FSV afgelegd op 30 juni 2020 (dossierstukken 81, 90, 91, 92).
192 De Belastingdienst was voornemens om in Q4 2019 de exportfunctionaliteit terug te brengen tot alleen de rol Senior Behandelaar (zie pagina 18 van de GEB van FSV van november 2019), de functioneel beheerder van FSV heeft echter verklaard dat deze wijziging niet is doorgevoerd voordat FSV op 27 februari 2020 werd uitgeschakeld, zie pagina 81 van verslag verklaringen medewerkers Belastingdienst werking FSV afgelegd op 30 juni 2020 (dossierstukken 81, 90, 91, 92).
193 Analyse AP logbestanden (dossierstuk 240).
194 Pagina’s 22, 25, 26 en 45 van verslag verklaringen medewerkers Belastingdienst werking FSV afgelegd op 30 juni 2020 (dossierstukken 81, 90, 91, 92).
195 bijlage 3 - Fw Betr Betr Betr Betr Betr Betr Betr Betr Betr FSV.xlm en 20210315 - reactie - nadere vragen exportfunctionaliteit, bijlagen 7 en 1 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 22 maart 2021 (dossierstuk 170). De AP gaat ervan uit dat de betreffende vijf Excelsheets zijn gemeld in het kader van de inventarisatie van het voorkomen van risicosignalen in mailboxen, zie Kamerstukken II 2019/20, 31066, 681, p. 8.
196 Antwoord vraag 4a van nadere vragen AP inzake FSV, digitaal aangeleverd door de Belastingdienst aan de AP op 18 februari 2021 (dossierstuk 151). LRKP staat voor Landelijk Register Kinderopvang en Peuterspeelzalen.
197 Uit de tabel Medewerkers volgt dat de data-analist geen actieve autorisatie had in FSV, wat een noodzakelijke voorwaarde was voor toegang tot FSV (zie paragraaf 3.9 van het rapport).
198 Antwoord vraag 4b van 20210218 nadere vragen AP inzake FSV, digitaal aangeleverd door de Belastingdienst aan de AP op 18 februari 2021 (dossierstuk 151).
Openbare versie | oktober 2021
43
Conclusie
In deze paragraaf is geconstateerd dat bij het exporteren naar Excel alle velden van de tabel meekwamen en dat dit niet kon worden beperkt door de medewerker. Ook is vastgesteld dat alleen de performance van FSV het aantal te downloaden signalen limiteerde. Tevens is geconstateerd dat de functionaliteit niet was voorbehouden tot speciale FSV-rollen, dat er geen regels bestonden over het gebruik van de
exportfunctionaliteit en dat er geen controle achteraf was op het gebruik ervan. Tot slot is vastgesteld dat de exportfunctionaliteit regelmatig werd gebruikt voor uiteenlopende doeleinden, waaronder het buiten FSV aanleggen van een dataset met signalen uit FSV voor personen die geen toegang hadden tot FSV.
3.12 De wijze waarop de FG is betrokken bij de gegevensbeschermingseffectbeoordeling van FSV
Bij de uitvoering van een gegevensbeschermingseffectbeoordeling hoort de functionaris voor
gegevensbescherming (hierna: FG) tijdig te worden betrokken. In deze paragraaf beschrijft de AP op welk moment en op welke wijze de FG is betrokken bij de uitvoering van de
gegevensbeschermingseffectbeoordeling van FSV.
Uit een interne e-mail van de Belastingdienst volgt dat er op 6 november 2018 een bijeenkomst met deskundigen vanuit de directies MKB, Particulieren, Toeslagen en DF&A heeft plaatsgevonden, hetgeen de eerste handeling betrof in het kader van de gegevensbeschermingseffectbeoordeling van FSV.199 Het beoordelingsproces leidde op 21 januari 2019 tot een initiële versie van het document met daarin de resultaten van de gegevensbeschermingseffectbeoordeling van FSV. In deze initiële versie stond dat FSV moest worden vervangen door een nieuwe applicatie en dat tot die tijd een aantal tijdelijke maatregelen in FSV moesten worden doorgevoerd.200 Op 21 januari 2019 is dit document opgeleverd aan de
datacoördinator van de directie MKB.201
In het najaar van 2019 is besloten dat er een actualisatie moest plaatsvinden van het document van 21 januari 2019.202 Dit hield in dat van drie van de zeven benoemde tijdelijke FSV maatregelen in het document de actuele stand van zaken is toegevoegd (bijvoorbeeld ‘maatregel uitgevoerd’ of ‘uitvoering staat gepland’).203 Op 26 november 2019 is het geactualiseerde document, de GEB van FSV van november 2019, door het managementteam van de directie MKB vastgesteld en is de opdracht gegeven tot het vervangen van FSV voor een nieuwe applicatie.204
Een paar maanden later, begin februari 2020, ontving het Ministerie van Financiën persvragen over het bestaan van FSV.205 Naar aanleiding hiervan kregen op 20 februari 2020 de afdeling Communicatie en de privacy-officer van de Belastingdienst de GEB van FSV van november 2019 toegestuurd.206 Op 20 februari
199 Overzicht informatie cfrm verzoek Projectmanager FSV MKB, bijlage 21 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
200 20190121 GEB FSV v.1.02, bijlage 25 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
201 mail 21 januari 2020, bijlage 20 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
202 Pagina 2 van de Tijdlijn, bijlage bij Kamerstukken II 2019/20, 31066, nr. 632.
203 Daarnaast is ook een samenvatting toegevoegd en zijn in deel D enkele redactionele wijzigingen doorgevoerd, zo volgt uit een vergelijking van de GEB van FSV van november 2019 met het document 20190121 GEB FSV v.1.02, bijlage 25 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
204 11 Verslag MT MKB 26 november 2019 - definitief- .pdf, digitaal aangeleverd door de Belastingdienst aan de AP op 30 juli 2020.
205 Pagina 2 van Tijdlijn, bijlage bij Kamerstukken II 2019/20, 31066, nr. 632.
206 08 Document, bijlage 8 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
Openbare versie | oktober 2021
44
2020 stuurde de privacy-officer de GEB van FSV van november 2019 door aan de FG.207 De FG heeft tegenover de AP verklaard dat hij op dat moment voor het eerst kennis heeft genomen van de GEB.208 Op 26 februari 2020 is de FG verzocht om met spoed een advies uit te brengen over de GEB van FSV van november 2019.209 Diezelfde dag geeft de FG het advies om de persoonsgegevens in FSV niet langer te verwerken.210
De staatssecretarissen van Financiën hebben in de brief van 28 april 2020 aan de Tweede Kamer aangegeven dat zij van mening zijn dat de FG te laat is betrokken bij het opstellen van de GEB.211
Conclusie
In deze paragraaf is geconstateerd dat de gegevensbeschermingseffectbeoordeling van FSV is uitgevoerd in de periode van 6 november 2018 tot en met 21 januari 2019. Daarnaast is vastgesteld dat op 26 november 2019 de GEB van FSV van november 2019 door het managementteam van de directie MKB is vastgesteld en is de opdracht gegeven tot het vervangen van FSV voor een nieuwe applicatie. Tot slot is geconstateerd dat de FG op 26 februari 2020 - naar aanleiding van persvragen - is gevraagd te adviseren over de GEB.
207 09 Document, bijlage 9 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
208 E-mail van de FG aan de AP van 11 september 2020 (dossierstuk 87).
209 04 en 05 document, bijlage 5 van documenten digitaal aangeleverd door de Belastingdienst aan de AP op 21 augustus 2020 (dossierstuk 78).
210 idem
211Kamerstukken II 2019/20, 31066, nr. 632, p. 4, 5. Zie ook Kamerstukken II 2019/20, 31066, nr. 682, p. 3.
Openbare versie | oktober 2021
45
4. Beoordeling
Van 1 september 2001 tot 25 mei 2018 was de Wbp van kracht. Op grond van artikel 51, eerste lid, van de Wbp was de rechtsvoorganger van de AP, het College bescherming persoonsgegevens, belast met het toezicht op de naleving van de Wbp. Vanaf 25 mei 2018 zijn de AVG en de Uitvoeringswet AVG (hierna:
UAVG) van toepassing. Op grond van artikel 51 van de AVG, gelezen in samenhang met artikel 15, eerste lid, van de UAVG is de AP belast met het toezicht op de naleving van de AVG en de UAVG.
Zoals vastgesteld in paragraaf 3.1.1 is FSV gebruikt in de periode van 4 november 2013 tot en met 27 februari 2020 (hierna: de onderzoeksperiode). In de eerste periode was derhalve de Wbp van kracht en sinds 28 mei 2018 is de AVG van toepassing. Voor zover de periode van de juridische beoordeling ziet op verwerkingen door de Belastingdienst onder de werking van de Wbp, is van belang dat de voor deze zaak relevante normen van de Wbp in materieel opzicht niet wezenlijk anders zijn dan die van de AVG. Hierna wordt in de beoordeling van de deze normen daarom enkel getoetst aan de AVG, waarmee de kwalificaties met betrekking tot de relevante artikelen van de Wbp ook vast staan.